Wat is het verschil tussen authenticatie en autorisatie?
Thymen van Scheppingen · 8 minuten leestijd · Gepubliceerd op 24-8-2022

Wat is het verschil tussen authenticatie en autorisatie?

Twee woorden die veel op elkaar lijken en ook veel met elkaar te maken hebben en toch verschillende betekenissen hebben. In deze blogpost wil ik ingaan op wat het verschil tussen authenticatie en autorisatie is.

Wat is het verschil tussen authenticatie en autorisatie? Kortgezegd, authenticatie gaat over het vaststellen van identiteit en autorisatie gaat over het vastellen van rechten.

Wat is authenticatie?

Authenticatie doet me denken aan het woord authentiek. Is een Rolex die je koopt bij een marktkraampje in Spanje net zo authentiek als een die je haalt bij een authorised dealer? Een luxe horloge heeft vaak allerlei verstopte kenmerken waarmee een juwelier kan zien of het authentiek is. Tegenwoordig drukt Rolex bijvoorbeeld een kroontje op het glas voor de wijzerplaat. Met het blote oog is dat bijna niet te zien, maar een goede juwelier kan dat wel. Dat kleine kroontje is dus een middel om het horloge te authenticeren.

Dat kroontje op het glas zou je kunnen zien als een soort van wachtwoord waarmee wordt vastgesteld dat het horloge echt is. Voor een horloge zijn subtiele kenmerken genoeg voor authenticatie, maar voor software is dat nooit genoeg. Vaak worden hier een gebruikersnaam en wachtwoord voor gebruikt. Er zijn ook andere methoden van authenticatie, denk maar aan een vingerafdrukscanner op een telefoon. Deze gegevens zijn als het goed is alleen in het bezit van degene die probeert in te loggen en zijn daarom geschikt voor het vastellen van zijn of haar identiteit.

Wanneer een medewerker ontslag neemt om ergens anders te gaan werken, moet natuurlijk zijn toegang tot bedrijfssystemen worden weggenomen. Veel bedrijven verwijderen dan het account van de oud-medewerker. In sommige gevallen is dat niet genoeg, bijvoorbeeld wanneer hij of zij nog wachtwoorden van klanten heeft opgeslagen. Deze moeten dan gewijzigd worden voor het geval de medewerker ze in de toekomst probeert te gebruiken.

Wat is autorisatie?

Waar authenticatie met name gaat over het vastellen van de identiteit van een gebruiker, gaat autorisatie over het vastellen van de rechten van een gebruiker. Een gebruiker moet ‘geautoriseerd’ zijn om bepaalde acties in een systeem te kunnen uitvoeren, oftewel, hij moet de juiste rechten hebben. Zo heeft een beheerder andere rechten dan een standaard gebruiker om misbruik van het systeem te voorkomen.

Binnen de IT is het altijd van groot belang om na te denken over autorisatie. Heeft de stagiair echt dezelfde rechten nodig als een senior developer? Door gebruikers binnen een organisatie alleen recht te geven op wat ze nodig hebben voor hun werk, kan er meer veiligheid worden ingebouwd.

Ik kom nog even terug op het voorbeeld van Rolex dat ik eerder noemde. Ik noemde de term authorised dealer, oftwel gemachtigde verkoper. Dit is een juwelier die van een merk de rechten heeft gekrgen om hun horloges te verkopen. Het lijkt mij een veilige aanname dat zo’n gemachtigde verkoper beter te vertrouwen is dan iemand die een Rolex op Ebay verkoopt voor een paar tientjes.

Profielfoto van Thymen

Thymen

tester, developer

Thymen is developer en tester bij Q2-software.nl. Zonder koffie en custom keyboard wordt er niet gewerkt.

Tags

Snel aan de slag!
Of nog een vraag?

stuur een e-mail naar
info@q2-software.nl
of bel 085 06 06 133